一、Cashaa被盜幣事件簡述
CoinCrunch在2020年7月10日收到一封投訴信,受害者稱自己在1:23分登錄并進行兩筆交易后,自己的1.06005561?BTC被盜。被盜BTC轉進了地址14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。投訴憑證如下所示:
圖一
而后不久,Cashaa公司涉及的總計8個比特幣錢包,共計335.91312085個比特幣被攻擊者通過同樣的手段轉移到同一個地址14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。
首發 | 劉堯:百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講,他指出:2020年將是區塊鏈企業落地的元年,為了支持中國區塊鏈的產業落地,百度將區塊鏈進行平臺化戰略升級,依托百度智能云推出天鏈平臺,就是要賦能360行的鏈上業務創新落地。[2019/12/20]
事件發生后,Cashaa?的CEO?KumarGaurav對此次事件做出了回應,聲稱此次事件只是個例,Cashaa其余賬戶的余額仍是安全的。并呼吁各大交易所禁止此次事件的相關地址提現,否則就是『助紂為虐』,幾乎所有的交易所都積極響應了Cashaa的呼吁。
首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊,近日,百度超級鏈聯合百度百科,基于區塊鏈技術創建 “文博藝術鏈”,推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”,百度將與博物館共同推動線上藏品版權的確權與維護,同時探索線上藏品版權數字化交易方式,為合作的博物館提供更全面的服務和更多的權益。據介紹,此項目將分階段進行,一期將完成線上藏品的入鏈確權,為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續,百度還將推動AI與區塊鏈技術在文博領域的結合應用,用來保障上鏈數據與藏品相匹配,為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]
根據Cashaa給出的解釋,本次事件是因為一個雇員使用了自己的私人電腦造成的,黑客通過瀏覽器session控制了雇員的電腦,但具體攻擊方式還在調查中。Cashaa公司此前并不允許使用個人電腦,此次員工使用個人電腦是因為雇員設備故障,Cashaa公司考慮到『客戶體驗』于8號為其臨時開通權限。雇員在10號使用電腦操作后,不久336BTC便被盜走。根據線上地址來看,被盜的BTC在轉移過程中還進行了混幣。
IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道:今日,EOS Go在 steemit上公布新增的兩條復選條件為:
1. 保證安全的計劃:候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃,“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會;
2. 立場:描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場(候選節點在steemit發布)。主要闡述以下兩個問題:
該組織是否會出于任何原因向EOS令牌選民提供支付,包括BP選舉和社區建議?
該組織是否有書面的無票付款政策?如果是這樣,請提供一個鏈接。[2018/4/27]
二、事件分析
成都鏈安-安全實驗室針對此次事件進行分析,本次涉及BTC是在雇員操作后很短的時間內被盜的,且轉移過程中流入混幣,這說明黑客對區塊鏈技術早有積累,很有可能是相關從業人員或黑產成員。
根據Cashaa給出的信息,雇員在8號獲得許可,在10號就遭受攻擊,這太過于巧合,我們相信Cashaa公司在對員工電腦進行臨時授權前,應當是會對員工電腦進行過安全檢查的。這里我們推測這是一起有極高針對性的攻擊,黑客極有可能瞄準Cashaa已久,對公司內部成員和動向都非常了解,才能在這么短的時間內,控制雇員的電腦。但也不排除內部人員配合作案的可能性。
針對于目前掌握到的信息,我們推測有兩種可能性:
攻擊者是專業從事相關黑產的團伙,其瞄準cashaa已久,掌握著公司相關人員信息和網絡管理制度,通過傳統攻擊手段持續性的對公司人員的信息設備進行攻擊,或已掌握部分系統的權限,此次攻擊是建立在前期攻擊基礎上進行的。
公司內部有相關人員配合作案,將公司信息泄露給了攻擊實施者,再針對性的配合社工手段進行攻擊,拿到雇員電腦權限。
三、安全建議
針對此次事件,成都鏈安呼吁各大交易所和錢包服務商,『千里之堤毀于蟻穴』。網絡安全建設是一個面,任何薄弱點都能可能成為擊垮堤壩的『蟻穴』。
1、從交易所出發:服務器層、網絡層、終端層、智能合約層、業務層、安全管理制度等各個層面的安全都不可或缺。一旦出現短板,即使其他方面做的再好,也無濟于事。
2、『安全』永遠是一個博弈的過程,沒有攻不破的系統。隨著技術的不斷發展,原先所謂『安全』的系統也會變得不安全,因此與第三方安全公司建立持續的合作關系也是不可或缺的。
3、對于安全體系來講,人往往是最薄弱的環境,隨時存在『違規操作』的可能性,加強員工的信息安全意識,切實實施良好的安全管理制度可以規避很大的風險。
?4、『亡羊補牢,為時不晚』。在遭受黑客攻擊后,交易所應第一時間向專業的安全公司尋求幫助,追蹤資金動向,盡可能將公司的損失降到最低。
尊敬的WBF用戶: 為回饋廣大用戶的支持,WBF特開展”主流幣交易打卡,瓜分5000DUSD獎池“活動.
1900/1/1 0:00:00尊敬的LBank用戶: LBank將于2020年8月5日20:00上線OSST,具體如下:開啟交易對:OSST/USDT開啟充值時間:2020年8月4日20:00LBank Labs完成全球暑期.
1900/1/1 0:00:00各省、自治區、直轄市及計劃單列市工業和信息化主管部門,各省、自治區、直轄市通信管理局,部屬有關單位,有關中央企業,相關單位:為深入貫徹習近平總書記關于發展網絡安全產業的重要指示精神.
1900/1/1 0:00:00親愛的用戶: DigiFinex已完成所有DochStar(DCHS)更換合約代幣映射事宜,將于2020年08月04日11:00(GMT8)重新開放DCHS充提幣服務以及DCHS/BTC交易對交.
1900/1/1 0:00:00BigONE周報周一見。比特幣上周最高上漲到12000美元以上,點燃了整個市場的熱情,在這盛夏時節,大概很多人已經感受到了市場熾熱的開場白.
1900/1/1 0:00:00上周,推特上的數字貨幣愛好者們再次「炸鍋」。當地時間7月22日,美國貨幣監理署高級副審計長兼高級法律顧問JonathanGould表示,根據他們的結論,銀行可以為客戶提供數字貨幣托管服務,包括持.
1900/1/1 0:00:00